[English]Mal wieder SolarWinds: Der US-Hersteller, der gehackt wurde, so dass die Angreifer Tausende an Kundensystemen über die Orion-Software infiltrieren konnten. Der Hersteller hat jetzt eine 0-day-Schwachstelle in Serv-U durch ein Update geschlossen. Die Remote Execution-Schwachstelle CVE-2021-35211, die in den Filetransfer-Funktionen auftritt, wurde bereits in freier Wildbahn ausgenutzt. Ergänzung: Es deutet auf China hin.
Die Schwachstelle wurde durch Microsoft entdeckt, wenn ich nachfolgenden Tweet korrekt interpretiere. Catalin Cimpanu hat die Einzelheiten in diesem Artikel zusammen getragen – ein weiterer Beitrag findet sich bei Bleeping Computer.
Vorige Woche Freitag (10. Juli 2021) hat SolarWinds einen Sicherheitshinweis herausgegeben, der sich mit der Problematik befasst. Der Hersteller wurde kürzlich von Microsoft über eine Sicherheitslücke im Zusammenhang mit Serv-U Managed File Transfer Server und Serv-U Secured FTP informiert. Darauf hin wurde ein Hotfix entwickelt, um diese Schwachstelle zu beheben. Obwohl die Recherchen von Microsoft darauf hindeuten, dass diese Sicherheitslücke nur von einer begrenzten Anzahl von Kunden und einem einzelnen Bedrohungsakteur ausgenutzt wird, wurde die Schwachstelle schnell durch einen Patch beseitigt.
Die Sicherheitslücke besteht in der neuesten Serv-U Version 15.2.3 HF1, die am 5. Mai 2021 veröffentlicht wurde, sowie in allen früheren Versionen. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte beliebigen Code mit Privilegien ausführen. Ein Angreifer könnte dann Programme installieren; Daten anzeigen, ändern oder löschen; oder Programme auf dem betroffenen System ausführen.
Der Hersteller empfiehlt Kunden, diese Updates unverzüglich zu installieren. Alternativ kann SSH auf den betroffenen Produkten installiert werden, um die Ausnutzbarkeit der Schwachstelle zu verhindern. Weitere Details lassen sich dem Sicherheitshinweis von SolarWinds entnehmen.
Ergänzung: Microsoft hat nun diesen Blog-Beitrag veröffentlicht, und das Microsoft Threat Intelligence Center (MSTIC) schreibt diese Kampagne mit hoher Wahrscheinlichkeit DEV-0322 zu. Das ist eine Gruppe, die von China aus operiert,. Die Zuweisung basiert auf der beobachteten Viktimologie, Taktik und Vorgehensweise.
Ähnliche Artikel:
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
SUNBURST-Malware: Analyse-Tool SolarFlare, ein ‚Kill-Switch‘ und der Einstein-Überwachungsflopp
Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?
Neues im Kampf gegen die SUNBURST-Infektion, Domain beschlagnahmt
SUNBURST-Malware wurde in SolarWinds Quellcode-Basis eingeschleust
SUNBURST: Auch US-Atomwaffenbehörde gehackt, neue Erkenntnisse
SolarWinds-Hack: Auch Microsoft & Co. betroffen?
SUNBURST-Hack: Microsofts Analysen und Neues
SolarWinds-Systeme mit 2. Backdoor gefunden
SolarWinds-Hacker hatten Zugriff auf Microsoft-Quellcode
SolarWinds-Hack: Motive der Angreifer; Outsourcing als Schwachstelle?
Gibt es deutsche Opfer des SolarWinds-Hacks?
Neues vom SolarWinds-Hack; JetBrains-Software als Einfallstor?
Kaspersky: SolarWinds Sunburst-Backdoor gleicht russischer ATP-Malware
SolarLeaks bietet angeblich Sourcecode von Cisco, Microsoft und SolarWinds an
Auch Malwarebytes von den SolarWinds-Angreifern erfolgreich gehackt
Vier Sicherheitsanbieter bestätigen SolarWinds-Vorfälle
Neues vom SolarWinds-Hack: 3 neue Bugs, alte Bugs durch chinesische Hacker missbraucht
Microsoft-Untersuchung zu Solarigate: 1.000 Cyber-Krieger und Zugriff auf Quellcode von Azure, Exchange, Intune
Vorwurf: Microsoft hat beim SolarWinds-Hack bei der Sicherheit gepatzt
SolarWinds: Microsoft kritisiert Amazon und Google wegen fehlender Offenlegung
SolarWinds-Hackerangriff: 300 deutsche Ziele im Fokus
SolarWinds: Update für Orion-Software, Angreifer hatten Zugriff auf Top DHS-Konten
SolarWinds-Hack: 6 EU-Organisationen betroffen, neue Hinweise auf Russland als Urheber
SSH sollte wohl eher deaktiviert als installiert werden:
„Is SSH enabled for your Serv-U installation? If SSH is not enabled in the environment, the vulnerability does not exist.“ (von der Solarwinds-Meldung)
serv-u ftp server? klingt nach uralten boesen erinnerungen der 90er und 2000er jahre. ist das namensgleichheit per purem zufall vorallem auch die versionsnummern vom klassischen shareware freeware nagware serv-u ebenfalls bei 15.x liegen, und diese solarwinds malwareopfer haben auch eine serv-u ftp komponente bei ebenfalls versionsummer 15.2 usw… ist das licensing der urspruenglichen ftp server software hersteller oder was muss ich mir da jetzt dazu denken?
siehe rhino soft und kapper.net
> https://de.wikipedia.org/wiki/Serv-U_FTP-Server
bug in der matrix?